创建和管理自定义限制条件

本页面介绍如何在 GKE on AWS 环境中启用和使用自定义限制条件。 Google Cloud的组织政策服务可帮助您在云环境中管理资源配置并创建安全防护措施。

概览

借助自定义组织政策，您可以在 GKE Multi-Cloud 环境中创建精细的资源政策，以满足组织的特定安全性和合规性要求。您还可以在试运行模式下创建组织政策，以便在不影响生产工作负载的情况下测试新政策。

如需详细了解组织政策，请参阅组织政策服务简介。

准备工作

在开始之前，请确保您了解以下主题。

政策继承

如果您对资源强制执行政策，默认情况下，该资源的后代会继承组织政策。例如，如果您对某个组织强制执行一项政策， Google Cloud 会对该组织中的所有项目强制执行该政策。如需详细了解政策继承以及如何更改评估规则，请参阅层次结构评估规则。

限制

在创建自定义限制条件之前，请注意以下限制：

• 只能对 GKE on AWS 资源的 CREATE 或 UPDATE 方法强制执行自定义限制条件。
• 新强制执行的自定义限制条件不会自动应用于现有资源。您必须更新现有资源才能应用限制条件。如需查找需要更新的现有资源，您可以强制执行试运行组织政策。
• 如需创建限制条件和强制执行组织政策，您需要拥有 Google Cloud 组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。如需详细了解管理具有自定义限制条件的组织政策所需的权限，请参阅所需的角色。

价格

组织政策和自定义限制条件可免费使用。

创建自定义限制条件

创建自定义限制条件

如需创建新的自定义限制条件，您需要在 YAML 文件中定义限制条件，并使用 Google Cloud CLI 在组织中应用自定义限制条件。此限制条件必须封装您想要在 GKE on AWS 资源中强制执行的特定政策。

创建一个 YAML 文件，用于对集群定义自定义限制条件：

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- gkemulticloud.googleapis.com/AwsCluster
methodTypes:
- CREATE
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

如需对节点池定义自定义限制条件，请使用以下 YAML 配置：

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- gkemulticloud.googleapis.com/AwsNodePool
methodTypes:
- CREATE
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

替换以下内容：

• ORGANIZATION_ID：您的组织 ID，例如 123456789。

• CONSTRAINT_NAME：新自定义限制条件的名称。自定义限制条件必须以 custom. 开头，只能包含大写字母、小写字母或数字。例如 custom.allowClusterCreateIfAnnotationPresent。此字段的长度上限为 70 个字符，不计算前缀，例如 organizations/123456789/customConstraints/custom。

• CONDITION：根据 Google Cloud 资源的表示法编写的条件。条件是使用通用表达式语言 (CEL) 编写的。此字段的长度上限为 1,000 个字符。例如，条件："key" in resource.annotations && resource.annotations.key == "created-by"。

• ACTION：满足条件时要执行的操作。可以是 ALLOW 或 DENY。

• DISPLAY_NAME：限制条件的显示名称。此字段的最大长度为 200 个字符。

• DESCRIPTION：在违反政策时作为错误消息显示的限制条件的说明，例如 "Allow new clusters only when certain annotations are set."。此字段的长度上限为 2,000 个字符。

如需详细了解如何创建自定义限制条件，请参阅定义自定义限制条件。

将限制条件与资源相关联

为新的自定义限制条件创建 YAML 文件后，您必须对其进行设置，以使该限制条件可用于组织政策。

1. 如需设置自定义限制条件，请使用 gcloud org-policies set-custom-constraint 命令：

   gcloud org-policies set-custom-constraint PATH_TO_FILE
   

   将 PATH_TO_FILE 替换为自定义限制条件 YAML 定义的路径。

2. 如需验证自定义限制条件是否已创建，请使用 gcloud org-policies list-custom-constraints 命令：

   gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
   

   输出会列出已创建的政策：

   CUSTOM_CONSTRAINT: custom.allowClusterCreateIfAnnotationPresent
   ACTION_TYPE: ALLOW
   METHOD_TYPES: CREATE
   RESOURCE_TYPES: gkemulticloud.googleapis.com/AwsCluster
   DISPLAY_NAME: Allow new clusters only when certain annotations are set.
   

强制执行自定义限制条件

如需强制执行新的自定义限制条件，请创建一个引用该限制条件的组织政策，然后应用该组织政策。

1. 为组织政策创建 YAML 文件：

   name: RESOURCE_HIERARCHY/policies/POLICY_NAME
   spec:
     rules:
     - enforce: true
   

   替换以下内容：

   • RESOURCE_HIERARCHY：新政策的位置，此位置会影响强制执行范围。请参考 Google Cloud 资源层次结构。例如，如果您想在特定项目中强制执行政策，请使用 projects/PROJECT_ID。如需在特定组织中强制执行政策，请使用 organizations/ORGANIZATION_ID。

   • POLICY_NAME：新政策的名称。

2. 强制执行政策：

   gcloud org-policies set-policy PATH_TO_POLICY
   

   将 PATH_TO_POLICY 替换为政策定义文件的路径。

3. 验证政策存在：

   gcloud org-policies list --RESOURCE_FLAG=RESOURCE_ID
   

   替换以下内容：

   • RESOURCE_FLAG：在其中强制执行政策的 Google Cloud 资源。例如，项目或组织。

   • RESOURCE_ID：在其中强制执行政策的资源的 ID。例如，项目 ID 或组织 ID。

   输出类似于以下内容：

   CONSTRAINT: custom.allowClusterCreateIfAnnotationPresent
   LIST_POLICY: -
   BOOLEAN_POLICY: SET
   ETAG: CPjb27wGEOijhL4B-
   

测试政策

1. 在受限项目中创建 AWS 集群。

   gcloud container aws clusters create CLUSTER_NAME \
     --aws-region AWS_REGION \
     --location GOOGLE_CLOUD_LOCATION \
     --cluster-version CLUSTER_VERSION \
     --fleet-project FLEET_PROJECT \
     --vpc-id VPC_ID \
     --subnet-ids CONTROL_PLANE_SUBNET_1,CONTROL_PLANE_SUBNET_2,CONTROL_PLANE_SUBNET_3 \
     --pod-address-cidr-blocks POD_ADDRESS_CIDR_BLOCKS \
     --service-address-cidr-blocks SERVICE_ADDRESS_CIDR_BLOCKS \
     --role-arn API_ROLE_ARN \
     --database-encryption-kms-key-arn DB_KMS_KEY_ARN \
     --admin-users ADMIN_USERS_LIST \
     --config-encryption-kms-key-arn CONFIG_KMS_KEY_ARN \
     --iam-instance-profile CONTROL_PLANE_PROFILE \
     --tags "Name=CLUSTER_NAME-cp"
   

2. 输出类似于以下内容：

   FAILED_PRECONDITION: Operation denied by org policy on resource 'projects/PROJECT_NUMBER/locations/GOOGLE_CLOUD_REGION': ["customConstraints/custom.allowClusterCreateIfAnnotationPresent": "Allow new clusters only when certain annotations are set."]
   
   '@type': type.googleapis.com/google.rpc.ErrorInfo
   domain: googleapis.com
   metadata:
     customConstraints: customConstraints/custom.allowClusterCreateIfAnnotationPresent
   service: gkemulticloud.googleapis.com
   reason: CUSTOM_ORG_POLICY_VIOLATION